セキュリティが甘すぎた「7Pay」、不正利用被害多発でもクレカ等でのチャージ停止に留まる
ユーザーへの簡単な報告のみが記載された7payトップページ
7月1日にリリースされたばかりのセブン&アイのバーコード決済サービス「7pay」だが、7月3日には第三者によるアクセスによる不正利用が相次ぎ、勝手に残高をチャージされ、決済が行われるという被害が報告されている。
ファミリーマートのファミペイ同様、スタートからアクセス集中による接続不良や問い合わせにつながらないといった問題が発生していた7pay。ただ、ファミペイでは本稿執筆時点で不正利用被害は報告されていないが、7payは数十万円単位の不正利用の報告が溢れている状況だ。
その手口は、アカウントに不正にアクセスされ(アカウント乗っ取り)、クレジットカードから複数回のチャージが行われ、高額の商品が購入されるというもの。
それを実現させてしまう7payのセキュリティの甘さは、『7Payを利用するためのセブンイレブンアプリの「7iD」の登録の甘さ(本人確認が行われない)』、『チャージ用パスワードに対する総当たり攻撃、リスト攻撃に対する脆弱性』、『新規会員登録に生年月日不要』、『パスワード再発行時に、ユーザーが登録していないメールアドレスにパスワード再発行アドレスを送ることができる』など、システムから何からスキが多すぎるという状態だ。
その手口は、アカウントに不正にアクセスされ(アカウント乗っ取り)、クレジットカードから複数回のチャージが行われ、高額の商品が購入されるというもの。
それを実現させてしまう7payのセキュリティの甘さは、『7Payを利用するためのセブンイレブンアプリの「7iD」の登録の甘さ(本人確認が行われない)』、『チャージ用パスワードに対する総当たり攻撃、リスト攻撃に対する脆弱性』、『新規会員登録に生年月日不要』、『パスワード再発行時に、ユーザーが登録していないメールアドレスにパスワード再発行アドレスを送ることができる』など、システムから何からスキが多すぎるという状態だ。
また、7payへの問い合わせ画面に表示される「7payマネーが第三者に使用された場合であっても、当社は一切責任を追わないものとします」という文言もあり、クレカの被害が補償されないのでは?というユーザーの不安も広がっている。
これらの問題多発の状況に対し、セブン側は「クレジットカード及びデビットカードでのチャージを停止」という対応を発表。しかし、カードの登録や買い物機能は引き続き利用できるので、例えばユーザー本人がセブンイレブンのレジで現金による多額のチャージを行った後、不正アクセスを受ければ、チャージした分を不正利用される可能性がある。
致命的な弱点を複数抱えつつ、サービスが続行されている7pay。登録済みのユーザーは不用意な使用は避け、パスワード変更などの対策が求められる。また、これから登録しようと思っているユーザーはセキュリティの問題が解決されるまで、インストールは控えることが望ましい。